Tấn công giành quyền truy cập là phần thứ hai của quá trình kiểm tra khả năng thâm nhập mạng. Trong phần này, chúng ta sẽ kết nối mạng. Điều này sẽ cho phép chúng tôi khởi động các cuộc tấn công mạnh mẽ hơn và nhận được nhiều thông tin chính xác hơn.
Các bài viết liên quan:
Nếu một mạng không sử dụng mã hóa, chúng tôi chỉ có thể kết nối với mạng đó và phát hiện ra dữ liệu không được mã hóa. Nếu một mạng có dây, chúng ta có thể sử dụng cáp và kết nối với nó, có lẽ thông qua việc thay đổi địa chỉ MAC của chúng ta. Vấn đề duy nhất là khi mục tiêu sử dụng mã hóa như WEP, WPA, WPA2. Nếu chúng ta gặp phải dữ liệu được mã hóa, chúng ta cần biết chìa khóa để giải mã nó, đó là mục đích chính của chương này.
Nếu mạng sử dụng mã hóa, chúng tôi không thể đi đến bất kỳ đâu trừ khi chúng tôi giải mã nó. Trong phần này, chúng ta sẽ thảo luận về cách phá vỡ mã hóa đó và cách truy cập vào các mạng cho dù chúng sử dụng WEP / WPA / WPA2.
WEP là gì ?
WEP là viết tắt của Wired Equivalent Privacy, đây là một giải pháp bảo mật cho mạng không dây sử dụng cho các thiết bị cần kết nối với mạng không dây. WEP được thiết kế để cung cấp mức độ bảo mật tương tự như một mạng dây. Tuy nhiên, WEP đã bị chứng minh là không
Trong phần này, chúng ta sẽ thảo luận về WEP (Wired Equivalent Privacy). Nó là cái lâu đời nhất và có thể dễ dàng bị hỏng. WEP sử dụng thuật toán được gọi là mã hóa RC4. Trong thuật toán này, mỗi gói tin được mã hóa tại bộ định tuyến hoặc điểm truy cập và sau đó gửi ra ngoài không khí. Khi máy khách nhận được gói tin này, máy khách sẽ có thể chuyển đổi nó trở lại dạng ban đầu vì nó có khóa.
Nói cách khác, chúng ta có thể nói rằng bộ định tuyến mã hóa gói tin và gửi đi, còn máy khách nhận và giải mã nó. Điều tương tự cũng xảy ra nếu máy khách gửi một cái gì đó đến bộ định tuyến. Đầu tiên, nó sẽ mã hóa gói tin bằng một khóa, gửi nó đến bộ định tuyến và bộ định tuyến sẽ có thể giải mã nó, vì nó có chìa khóa. Trong quá trình này, nếu một hacker nắm bắt được gói tin ở giữa, thì họ sẽ lấy được gói tin, nhưng họ sẽ không thể nhìn thấy nội dung của gói tin vì họ không có khóa.
Mỗi gói được gửi vào không khí có một dòng khóa duy nhất. Dòng khóa duy nhất được tạo bằng cách sử dụng 24-bit IV (Véc tơ khởi tạo). Vectơ khởi tạo là một số ngẫu nhiên được gửi vào mỗi gói ở dạng văn bản thuần túy, không được mã hóa. Nếu ai đó chụp được gói tin, họ sẽ không thể đọc nội dung gói tin vì nó đã được mã hóa, nhưng họ có thể đọc IV ở dạng văn bản thuần túy.
Điểm yếu của IV là nó được gửi trong văn bản đau và nó rất ngắn (chỉ 24-bit). Trong một mạng bận, sẽ có một số lượng lớn các gói tin được gửi trong không khí. Tại thời điểm này, số 24-bit không đủ lớn. IV sẽ bắt đầu lặp lại trên mạng bận. Các IV được lặp lại có thể được sử dụng để xác định luồng khóa. Điều này làm cho WEP dễ bị tấn công thống kê.
Để xác định luồng khóa, chúng ta có thể sử dụng một công cụ có tên là aircrack-ng. Công cụ này được sử dụng để xác định luồng khóa. Khi chúng ta có đủ IV được lặp lại, thì nó cũng có thể bẻ khóa WEP và cung cấp cho chúng ta chìa khóa vào mạng.
Tại sao WEP có bảo mật Yếu
WEP (Wired Equivalent Privacy) được xem là một giải pháp bảo mật yếu vì có một số lỗ hổng trong thiết kế của nó. Một trong những lỗ hổng quan trọng nhất của WEP là tấn công đổi địa chỉ MAC. Điều này cho phép một hacker có thể giả mạo địa chỉ MAC của một máy tính để truy cập mạng mà không cần mật khẩu.
Ngoài ra, WEP còn gặp phải một số vấn đề về tốc độ mã hóa thấp, khả năng mã hóa không đủ mạnh, và khả năng tìm ra mật khẩu dễ dàng. Tất cả những vấn đề này đều khiến WEP không đáp ứng đầy đủ nhu cầu bảo mật của mạng hiện đại.
WEP Crack
Để bẻ khóa WEP, trước tiên chúng ta cần nắm bắt số lượng lớn các gói tin, nghĩa là chúng ta có thể nắm bắt một số lượng lớn các IV. Khi chúng tôi đã làm điều đó, chúng tôi sẽ sử dụng một công cụ có tên là aircrack-ng. Công cụ này sẽ có thể sử dụng các cuộc tấn công thống kê để xác định luồng khóa và khóa WEP cho mạng mục tiêu. Phương pháp này sẽ tốt hơn khi chúng ta có nhiều hơn hai gói và cơ hội phá khóa của chúng ta sẽ cao hơn.
Hãy xem trường hợp cơ bản nhất để bẻ khóa WEP. Để làm điều này, chúng tôi sẽ đặt thẻ WiFi ở chế độ màn hình. Sau đó, chúng tôi sẽ chạy lệnh airodump-ng wlan0 để xem tất cả các mạng nằm trong phạm vi Wi-Fi của chúng tôi và sau đó chúng tôi sẽ nhắm mục tiêu một trong các mạng đó. Trong đó wlan0 là viết tắt của giao diện. Kết quả sau sẽ được hiển thị sau khi thực hiện lệnh này:
Trong hình này, mạng thứ tư đã xuất hiện . Trên mạng này, chúng tôi sẽ thực hiện các cuộc tấn công của mình. Chúng tôi sẽ chạy airodump trên mạng access point bằng cách sử dụng lệnh sau:
Ở đây, chúng tôi chạy airodump trên mạng access point với –bssid là 74: DA: DA: DB: F7: 67. Chúng tôi bao gồm –channel, số 11, và chúng tôi thêm –write để lưu trữ tất cả các gói mà chúng tôi chụp vào một tệp, đó là wep. Sau khi chạy lệnh trên, kết quả sau sẽ được hiển thị:
Đây là một mạng bận. #Data, hiển thị số lượng gói hữu ích chứa IV khác và chúng ta có thể sử dụng nó để bẻ khóa. Nếu số càng cao thì việc bẻ khóa cho chúng tôi sẽ nhẹ hơn. Trong phần sau, chúng ta có thể thấy các khách hàng:
Bây giờ chúng ta sử dụng lệnh ls để liệt kê tất cả các tệp.
Chúng ta có thể thấy rằng chúng ta có tệp được chụp đã được chỉ định trong đối số ghi. Bây giờ chúng tôi sẽ khởi chạy aircrack-ng dựa trên tệp mà airodump đã tạo cho chúng tôi. Chúng tôi có thể phóng máy bay chống lại nó ngay cả khi chúng tôi không ngừng bay. Nó sẽ tiếp tục đọc gói tin mới mà airodump đang chụp. Sử dụng lệnh sau trong thiết bị đầu cuối mới để chạy aircrack:
Khi chúng tôi sử dụng aircrack-ng, chúng tôi sẽ đặt tên tệp là wep.cap. Nếu aircrack không xác định được khóa, aircrack sẽ đợi cho đến khi đạt 5.000 IV, sau đó thử lại.
Bây giờ, chúng ta phải đợi cho đến khi máy bay có thể bẻ khóa thành công khóa WEP. Khi nó giải mã khóa, chúng ta có thể nhấn Ctrl + C. Trong ảnh chụp màn hình sau, aircrack đã quản lý thành công để lấy khóa trong các gói dữ liệu:
Chúng ta có thể thấy rằng chìa khóa được tìm thấy. Vì vậy, chúng ta có thể kết nối với mạng đích, access point bằng mật khẩu ASCII là 12345. Chúng ta chỉ cần sao chép 12345 và dán nó trong khi kết nối access point. Bạn cũng có thể kết nối bằng KEY là 31: 32: 33: 34: 35. Trong một số trường hợp không thấy mật khẩu ASCII, lúc đó chúng ta có thể sử dụng KEY để kết nối mạng. Để thực hiện việc này, chỉ cần sao chép 31: 32: 33: 34: 35 và xóa dấu hai chấm giữa các số. Bây giờ bằng cách sử dụng phím 3132333435, chúng ta có thể kết nối với mạng access point.
Fake authentication attack
Trong phần trước, chúng ta đã thấy việc bẻ khóa khóa WEP trên mạng bận dễ dàng như thế nào. Trong một mạng bận rộn, số lượng dữ liệu tăng rất nhanh. Một vấn đề mà chúng tôi có thể gặp phải là nếu mạng không bận. Nếu mạng không bận, số lượng dữ liệu sẽ tăng rất chậm. Lúc đó chúng ta sẽ giả mạo là một AP không có bất kỳ máy khách nào kết nối với nó hoặc một AP có một máy khách kết nối với nó, nhưng máy khách không sử dụng mạng nhiều như máy khách trong phần trước .
Hãy xem một ví dụ. Chúng tôi sẽ chạy airodump với AP mục tiêu . Bây giờ chúng tôi có access point, cùng một AP mà chúng tôi đã sử dụng trước đây, nhưng điểm khác biệt là chúng tôi đã ngắt kết nối các máy khách được kết nối để thực hiện cuộc tấn công này. Như chúng ta có thể thấy, trong khu vực máy khách, không có máy khách nào được kết nối và #Data là 0, thậm chí nó không chuyển thành 1.
Trong phần này, chúng tôi muốn có thể bẻ khóa một khóa như thế này, với 0 dữ liệu:
Để giải quyết vấn đề này, những gì chúng ta có thể làm là đưa các gói vào lưu lượng truy cập. Khi chúng tôi làm điều này, chúng tôi có thể buộc AP tạo một gói mới với các IV mới trong chúng, và sau đó nắm bắt các IV này. Nhưng chúng tôi phải xác thực thiết bị của mình với AP mục tiêu trước khi chúng tôi có thể đưa các gói tin vào. AP có danh sách tất cả các thiết bị được kết nối với chúng. Họ có thể bỏ qua bất kỳ gói nào đến từ một thiết bị không được kết nối. Nếu một thiết bị không có khóa cố gắng gửi một gói đến bộ định tuyến, bộ định tuyến sẽ bỏ qua gói đó và thậm chí nó sẽ không thử xem bên trong nó có gì. Trước khi có thể đưa các gói vào bộ định tuyến, chúng ta phải xác thực chính mình với bộ định tuyến. Để làm điều này, chúng tôi sẽ sử dụng một phương pháp gọi là xác thực giả.
Trong phần trước, chúng ta đã thực hiện airodump. Hãy xem chúng ta có thể sử dụng xác thực giả như thế nào. Trong ảnh chụp màn hình trước, chúng ta có thể thấy AUTH không có giá trị. Khi chúng tôi đã thực hiện xác thực giả, chúng tôi sẽ thấy OPN hiển thị ở đó, điều này có nghĩa là chúng tôi đã xác thực giả thành công thiết bị của mình với AP mục tiêu. Chúng tôi sẽ sử dụng lệnh sau để làm điều đó:
Với aireplay-ng, chúng ta sẽ sử dụng một cuộc tấn công –fakeauth. Trong cuộc tấn công này, chúng tôi bao gồm kiểu tấn công và số lượng gói mà chúng tôi muốn gửi, đó là –fakeauth 0. Chúng tôi sẽ sử dụng -a, để bao gồm mạng mục tiêu là 74: DA: DA: DB : F7: 67. Sau đó, chúng ta sẽ sử dụng -h, để bao gồm địa chỉ MAC của chúng ta. Để lấy địa chỉ MAC, chúng ta sẽ chạy lệnh ifconfig wlan0:
Ở đây, wlan0 là tên của thẻ Wi-Fi của chúng tôi. Với aireplay-ng, kiểu tấn công mà chúng tôi đang cố gắng thực hiện, chúng tôi đang cố gắng thực hiện một cuộc tấn công xác thực giả, để xác thực địa chỉ MAC của chúng tôi để chúng tôi có thể đưa các gói vào mạng mục tiêu. Chúng tôi sẽ gửi 0 có nghĩa là thực hiện một lần, sau đó -a với địa chỉ MAC của điểm truy cập (AP), sau đó -h với địa chỉ MAC của thiết bị mà chúng tôi muốn thực hiện xác thực giả mạo, sau đó wlan0, tên của thẻ WiFi ở chế độ màn hình. Bây giờ chúng ta nhấn Enter:
Trong hình trên, chúng ta có thể thấy rằng -a đã gửi một yêu cầu xác thực và nó đã thành công. Mạng trở thành một mạng mở và ứng dụng khách của chúng tôi hiển thị như thể ứng dụng khách được kết nối với mạng. Chúng tôi thực sự không được kết nối, nhưng chúng tôi được xác thực với mạng và có liên kết với mạng đó để chúng tôi có thể đưa các gói vào AP. Bây giờ nó sẽ nhận được bất kỳ yêu cầu nào mà chúng tôi gửi đến nó. Sau đây là kết quả:
ARP request replay attack
AP hiện chấp nhận các gói mà chúng tôi gửi đến nó vì chúng tôi đã tự liên kết thành công với nó bằng cách sử dụng một cuộc tấn công xác thực giả mạo. Bây giờ chúng tôi đã sẵn sàng để đưa các gói vào AP và làm cho dữ liệu tăng lên rất nhanh, để giải mã khóa WEP.
Phát lại yêu cầu ARP là phương pháp chèn gói đầu tiên. Trong phương pháp này, chúng ta sẽ đợi một gói AP, chụp gói và đưa nó vào lưu lượng. Khi chúng tôi làm điều này, AP sẽ buộc phải tạo một gói mới với IV mới. Chúng tôi sẽ nắm bắt các gói mới, đưa nó trở lại vào lưu lượng truy cập và buộc AP tạo một gói khác với IV khác. Chúng tôi sẽ lặp lại quá trình này cho đến khi lượng dữ liệu đủ lớn để bẻ khóa WEP.
Sử dụng lệnh sau, chúng tôi có thể khởi chạy airodump-ng:
Chúng tôi sẽ thêm lệnh –write để lưu trữ tất cả các gói mà chúng tôi chụp vào một tệp là arp-request-reply-test. Khi nó chạy, chúng ta sẽ thấy rằng mạng mục tiêu có 0 dữ liệu, nó không có máy khách nào được liên kết với nó và không có lưu lượng truy cập nào đi qua, có nghĩa là nó không hữu ích, chúng ta không thể bẻ khóa của nó.
Để giải quyết vấn đề này, chúng tôi sẽ thực hiện một cuộc tấn công xác thực giả mạo như được hiển thị trong phần Xác thực giả mạo, để chúng tôi có thể bắt đầu đưa các gói vào mạng và nó sẽ chấp nhận chúng.
Điều đó dẫn chúng ta đến bước tiếp theo, đó là bước trả lời yêu cầu ARP. Trong bước này, chúng tôi sẽ đưa các gói vào mạng đích, buộc nó phải tạo các gói mới với các IV mới. Lệnh sau được sử dụng để thực hiện việc này:
Lệnh này rất giống với lệnh trước, nhưng trong lệnh này, chúng ta sẽ sử dụng –arpreplay thay vì? Fakeauth. Chúng tôi cũng sẽ bao gồm -b, cho BSSID. Với lệnh này, chúng ta sẽ đợi một gói ARP, chụp nó và sau đó phát lại nó vào không khí. Sau đó, chúng ta có thể thấy rằng chúng ta đã nắm bắt một gói ARP, đưa nó vào, bắt một gói khác, đưa nó vào lưu lượng truy cập, v.v. Sau đó, AP tạo các gói mới với IV mới, chúng tôi nhận chúng, chúng tôi tiêm chúng lại và điều này lặp đi lặp lại. Sau khi thực hiện lệnh trên, kết quả sau sẽ được hiển thị:
Tại thời điểm này, bộ điều hợp không dây wlan0 đang đợi một gói ARP. Khi có một gói ARP được truyền trong mạng, nó sẽ nắm bắt các gói đó và sau đó truyền lại. Khi nó đã hoàn tất, điểm truy cập sẽ buộc phải tạo một gói mới với IV mới và chúng tôi sẽ tiếp tục làm điều này vì điểm truy cập sẽ liên tục tạo gói mới với IV mới.
Khi lượng Data đạt 9000 trở lên, chúng ta có thể khởi chạy aircrack-ng để crack nó. Sử dụng lệnh sau để thực hiện việc này:
Sau khi chạy lệnh trên, kết quả sau sẽ được hiển thị. Chúng tôi có thể thấy Khóa WEP và có thể bẻ khóa nó.